金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第2回 フィンテックに対する規制強化の動きと金融機関へのサイバー攻撃
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
米国金融当局の動向
米国金融当局はフィンテックのイノベーションの創造力を阻害する結果になる規制を課すことに配慮はしながらも、サイバー犯罪から投資家や預金者を保護すべきであるとの意思は強く持っている。米国金融当局は金融機関だけではなくフィンテック企業のリスク管理体制にも大きな関心を示している。
OCC(The Treasury’s Office of the Comptroller of the Currency/米通貨監督局)は昨年12月にフィンテック企業にSpecial purpose national bank charter(特別銀行業認可)の申請を認める(申請は義務ではなく、選択である)ことを公表した。認可を受理したフィンテック企業はOCCの管轄下に入る。
その他の米国金融当局の中でも、フィンテック企業に対する、以下の新しい動きがある。
- ① CFPB(Consumer Financial Protection Bureau/消費者金融保護局)は2016年10月に“Project Catalyst” reportを公表してイノベーティブな個人向け金融商品の開発の促進に関してフィンテック企業を制度、ルール面で支援することを表明している。Project Catalyst reportではイノベーター・コミュニティーとの連携、ポリシー策定への参加、未来志向のトレンドのモニタリングをミッションとして掲げている。一方で、CFPBはオンライン貸付サービスを展開するフィンテック企業に影響を与える少額貸付に関する新ルールを導入した。
- ② FDIC(Federal Deposit Insurance Corporation/連邦預金保険公社)はFDIC内にフィンテックに関するステアリング・コミッティを創設した。
- ③ SEC(Securities and Exchange Commission/証券取引委員会)は2016年11月にフィンテック・コンファレンスをホストしてSECのフィンテック・ワーキング・グループの設立を発表した。
- ④ Federal Reserve(アメリカ中央銀行)は2016年12月に金融システムに対して大きなインパクトを与えうるブロックチェーンのような金融イノベーションを監視することを盛り込んだ白書を発表した。
我が国の動向
我が国においては、ビットコインをはじめとする仮想通貨が「貨幣の機能」を持ち、公的な決済手段に利用できると位置づけた上で、2016年5月に資金決済法を改正するかたちで可決された仮想通貨の内閣府令案等(仮想通貨交換業者に関する内閣府令(新設))と「事務ガイドライン(第三分冊:金融会社関係 16 仮想通貨交換業者関係)(新設)」)が、同年12月に金融庁から公開された。事業者向けのガイドラインでは、仮想通貨の範囲および判断基準、また企業内コンプライアンスの整備および利用者保護の措置、金融ADR制度などが規定されている。米国と異なり、我が国ではフィンテックが金融機関の伝統的サービスと競合するほど育っていないが、2016年12月27日、金融審議会「金融制度ワーキング・グループ」報告書が公表され、金融機関とフィンテック企業とのオープン・イノベーションの促進、電子決済等代行業者(中間的業者)に対する登録制の導入、金融機関によるオープンAPI[1]の導入に関する方針、損失分担ルールなどの策定・公表、銀行代理業に対する規制の見直しなどが盛り込まれている。
米国の金融機関に対するサイバー攻撃の状況
サイバー攻撃に関する2015年3月のSECの発表によると2014年にSECがサンプル調査した106社(証券会社57社、49登録投資助言・運用会社)のうち88%の証券会社、74%の登録年助言・運用会社がこれまでなんらかのサイバー攻撃を受けたとの報告があった。おそらく、2015年には米国の証券会社の90%以上がサイバー攻撃を受けていても驚きはないのではと考える[2]。
我が国の金融機関に対するサイバー攻撃の状況
金融庁の集計によると、社内PCやサーバを暗号化し、身代金を要求する攻撃(ランサムウェア等)、社内ネットワークへの攻撃(侵入や情報窃取を狙った攻撃等)、ホームページ等公開サーバへの攻撃(大量アクセスによるサービス妨害等)の攻撃件数は平成2015年度4月−9月期で64件、平成2015年度10−3月期で52件、平成2016年度4−9月期で44件と意外にも減少傾向にある。その一方で、警察庁の「2015年のサイバー攻撃やサイバー犯罪に関する状況」によると、日本年金機構をはじめとする多数の機関、事業者などで情報窃取などの被害が発生しており、警察が2015年に連携事業者などから報告を受けた標的型メール攻撃の件数は3828件で、過去最多となっている。(2013年は492件、2014年は1723件)
2015年中のインターネットバンキングに関する不正送金事犯の被害額は約30億7,300万円(2014年は約29億1,000万円)になり、過去最悪となった。特に信用金庫や信用組合に被害が拡大したこと、農業協同組合と労働金庫ではじめて被害が発生したことなどを挙げている。
ネットバンキング不正送金では当初は都市銀行が狙われていたが、年を追うにつれて中小の金融機関が狙われるようになった。2015年中に被害を受けた金融機関は223機関で、前年の102機関より2倍以上に増えた。
日米の金融機関へのサイバー攻撃の比較
SECが公表しているサイバー攻撃件数と金融庁・警視庁が公表している攻撃件数を単純比較はできないが、米国ではサイバー攻撃が日常化しており、日本では米国と比較すると現段階では限定的であるように思われる。日本でサイバー攻撃が米国のように日常化していない理由はよくわからない。国際的ハッカー集団が日本語の壁により米国ほどアクティブに行動ができないと言った見解もあるが真偽のほどは定かではない。我が国においては、サイバー攻撃を受けたことを金融機関が検知できていないケースも少なからずあるかもしれないが、相対的にサイバー攻撃の絶対数が米国と比較して少ないことは事実だと考える。
米国のサイバー攻撃は比較的サイバーセキュリティ対策がしっかりしていると思われる大手金融機関がターゲットになることが多い。金融機関がモバイル金融サービスをはじめとするイノベーションの導入を強力に推進する中で、サイバー攻撃に対して防御が追いついていないことが原因のひとつと考えている。
[1] API(Application Programming Interface)とは、銀行以外の者が銀行のシステムに接続し、その機能を利用することができるようにするためのプログラムを指し、このうち、銀行がフィンテック企業等にAPIを提供し、顧客の同意に基づいて、銀行システムへのアクセスを許諾することを「オープンAPI」という。
[2] ウォールストリートジャーナル(2015年2月3日)(http://www.wsj.com/articles/most-brokerages-and-advisory-firms-targeted-by-cyber-criminals-1422993463)